什么是 SSDP 型 DDoS 攻擊

SSDP型攻擊是一種基于反射的分布式拒絕服務(DDoS)攻擊，SSDP是簡單服務發現協議，DDOS利用這種協議實施攻擊，它利用通用即插即用(UPnP)網絡協議將放大的流量發送給目標受害者，使目標的基礎設施不堪重負并使它們的Web資源脫機。在正常情況下，SSDP協議用于允許UPnP設備向網絡上的其他設備廣播其存在。一個關鍵的防護措施是在防火墻的1900端口阻止傳入UDP流量。

防御SSDP型DDOS攻擊的手段有以下這些：

• 禁用UDP：對于內存緩存服務器，請確保在不需要時禁用UDP支持。默認情況下，內存緩存啟用了UDP支持，這可能會使服務器容易受到攻擊。

• 對內存緩存服務器進行防火墻保護：通過在內存緩存服務器和互聯網之間添加防火墻保護，系統管理員可以根據需要使用UDP，而不必暴露于風險中。

• 防止IP欺騙：只要可以偽造IP地址，DDoS攻擊就可以利用此漏洞將流量定向到受害者的網絡。防止IP欺騙是一個規模較大的解決方案，無法由特定的系統管理員實施，它要求傳輸提供商禁止源IP地址源自網絡外部的任何數據包離開其網絡。換句話說，互聯網服務提供商(ISP)之類的公司必須篩選流量，以使離開其網絡的數據包不得假裝成來自其他地方的其他網絡。如果所有主要的傳輸提供商都實施了這種篩選，基于欺騙的攻擊將在一夜之間消失。

• 開發具有減少UDP響應的軟件：消除放大攻擊的另一種方法是去除任何傳入請求的放大因素；如果由于UDP請求而發送的響應數據小于或等于初始請求，則放大就不復可能。

• 采用高性能的網絡設備：抗DDoS攻擊首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDoS攻擊是非常有效的。

• 盡量避免NAT的使用：無論是路由器還是硬件防護墻設備都要盡量避免采用網絡地址轉換NAT的使用，除了必須使用NAT，因為采用此技術會較大降低網絡通信能力，原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網絡包的校驗和進行計算，因此浪費了很多CPU的時間。

• 充足的網絡帶寬保證：網絡帶寬直接決定了能抗受攻擊的能力，假若僅有10M帶寬，無論采取何種措施都很難對抗現在的 SYNFlood攻擊，當前至少要選擇100M的共享帶寬,1000M的帶寬會更好，但需要注意的是，主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網絡服務商很可能會在交換機上限制實際帶寬為10M。

• 把網站做成靜態頁面：大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩。

回答所涉及的環境：聯想天逸510S、Windows 10。